隨著越來越多的企業(yè)通過將其工業(yè)流程連接到云計算來實現現代化，給攻擊者提供了更多途徑，通過勒索軟件攻擊來危害工業(yè)運營。

根據Claroty最新發(fā)布的報告，隨著針對關鍵基礎設施和工業(yè)企業(yè)的高調網絡攻擊將工業(yè)控制系統(tǒng)(ICS)安全問題提升為一個主流問題，工業(yè)控制系統(tǒng)的漏洞披露也急劇增加。

該報告涵蓋了今年上半年披露的ICS和OT漏洞，不僅提供了關于工業(yè)設備中普遍存在的漏洞的數據，還提供了圍繞它們的必要背景，以評估各自環(huán)境中的風險。

[[421502]]

一、ICS安全研究和披露趨勢

1. ICS漏洞披露

ICS漏洞披露正在顯著加速，揭示了在運營技術(OT)環(huán)境中發(fā)現的安全漏洞的嚴重程度。2021年上半年披露了637個ICS漏洞，比2020年下半年披露的449個漏洞增加了41%。其中81%是由受影響供應商的外部來源發(fā)現的，包括第三方公司、獨立研究人員、學者和其他研究組。此外，42名新研究人員報告了漏洞。

• 71%的漏洞被歸類為高?；驀乐芈┒?，反映了暴露的高度嚴重性和影響性質及其對運營的潛在風險。
• 90%的攻擊復雜性較低，這意味著不需要特殊條件，攻擊者每次都可以重復成功。
• 74%的攻擊者不需要權限，這意味著攻擊者未經授權且不需要訪問任何設置或文件;66%的攻擊者不需要用戶交互，例如打開電子郵件、單擊鏈接或附件或共享敏感的個人或財務信息。
• 61%是可遠程利用的，這表明保護遠程連接、物聯網(IoT)和工業(yè)IoT(IIoT)設備的重要性。
• 65%可能會導致完全喪失可用性，從而導致資源訪問被拒絕。
• 26%要么沒有可用的修復程序，要么只有部分補救措施，這突顯了與IT環(huán)境相比，確保OT環(huán)境安全的關鍵挑戰(zhàn)之一。
• 在ICS-CERT警報和供應商建議中提到的最重要的緩解措施，包括網絡分段(適用于59%的漏洞)、安全遠程訪問(53%)和勒索軟件、網絡釣魚和垃圾郵件防護(33%)。

Team82在2021年上半年發(fā)現并披露了70個漏洞，超過了Claroty在2020年披露的所有漏洞?？偟膩碚f，Team82已經披露了超過150個影響ICS設備和OT協議的漏洞。

Team82的研究調查了影響該行業(yè)眾多部門的各種供應商和產品。由于這些參數，Claroty還研究第三方產品。Team82在2021年上半年發(fā)現的70個漏洞影響了20家自動化和技術供應商。以下兩個圖表分別列出了受影響的供應商和ICS產品類型：

圖1 Team 82發(fā)現的受影響的ICS供應商

圖2 Team 82發(fā)現的受影響的ICS產品類型

2. 受影響的ICS產品

每個披露的漏洞都可標記為固件或軟件漏洞。在某些情況下，一個漏洞會影響這兩個方面的多個組件。在2021年上半年，大多數漏洞會影響軟件組件，鑒于軟件打補丁比固件打補丁相對容易，防御者有能力在其環(huán)境中優(yōu)先打補丁。

在檢查產品系列中的固件和軟件漏洞時，重要的是要了解，雖然在可分為固件或軟件的組件中發(fā)現漏洞，但需要考慮受其影響的產品。例如，HMI上可能存在易受攻擊的軟件配置，或者可能存在連接到泵的以太網模塊。下圖顯示了受這些漏洞影響的產品系列，其類別如下所示：

圖3 受影響產品細分

由于23.55%的漏洞影響普渡模型的運營管理(第三層)層級，這就解釋了為什么許多漏洞影響軟件組件。此外，發(fā)現的大約30%的漏洞影響普渡模型的基本控制(第一層)和監(jiān)督控制(第二層)層級。當然，在影響這些層級時，攻擊者也可以到達較低的層級并影響過程本身，這使其成為有吸引力的目標。

圖4 工業(yè)控制系統(tǒng)普渡模型0-3層

圖5 產品系列中的固件或軟件漏洞分類

二、評估2021年上半年披露的所有ICS漏洞

2021年上半年發(fā)布的所有工業(yè)控制系統(tǒng)漏洞的統(tǒng)計數據包括Team82發(fā)現和披露的漏洞，以及其他研究人員、供應商和第三方在2021年上半年公開披露的所有其他漏洞。Team82的信息來源包括：國家漏洞數據庫(NVD)、ICS-CERT、CERT@VDE西門子、施耐德電氣和MITRE。

在2021年上半年，發(fā)布了637個ICS漏洞，影響了76個ICS供應商。

圖6 2021年上半年發(fā)現的ICS漏洞數量及影響廠商數量

2021年上半年，80.85%的漏洞是由受影響供應商以外的來源發(fā)現的，外部來源包括許多研究機構，包括第三方公司、獨立研究人員和學者等。

圖7 漏洞研究來源

下圖分析了以第三方公司為首的外部來源披露的漏洞數量，在2021年上半年發(fā)現了341個漏洞(占53.87%)。這些公開的漏洞中，有許多是由網絡安全公司的研究人員發(fā)現的，這表明，在IT安全研究的同時，重點也轉移到了工業(yè)控制系統(tǒng)。需要指出的是，一些披露是多個研究小組之間的合作，或者不同的研究人員分別發(fā)現和披露了相同的漏洞，在2021年上半年有139個漏洞。

圖8 按研究組織分類的漏洞發(fā)現來源

2021年上半年披露的637個ICS漏洞影響了76家供應商的產品，受影響的供應商數量比2020年下半年有所增加(59家)，該數據2020年上半年為53家。

西門子是報告漏洞最多的供應商，共有146個漏洞，其中許多漏洞是西門子CERT團隊進行的內部研究披露的，其次是施耐德電氣、羅克韋爾自動化、WAGO和研華科技。

重要的是要認識到，受到大量公開漏洞的影響并不一定意味著供應商的安全狀況不佳或研究能力有限。一個分配了大量資源來測試其產品安全性的供應商，很可能比一個忽略了在相同程度上檢查其產品的供應商發(fā)現更多的漏洞。每個供應商的目錄和安裝基礎也往往會影響其產品所披露的漏洞的數量。

圖9 受漏洞影響的前五家供應商

在2021年上半年，其產品未受到2020年披露的ICS漏洞影響的20家供應商受到了2021年上半年披露的至少一個ICS漏洞的影響。

這些供應商中有六家專門從事醫(yī)療技術，三家專門從事自動化，兩家專門從事制造業(yè)。影響這些新受影響的供應商(20個供應商中的16個)的漏洞是由先前披露漏洞的研究人員發(fā)現的。

圖10 受漏洞影響的供應商

三、ICS漏洞帶來的威脅和風險

雖然報告中的許多數字令人大開眼界，令人印象深刻，但確實說明了一種持續(xù)趨勢：披露的漏洞數量及修補或緩解的漏洞持續(xù)呈上升趨勢。這一增長背后有許多因素，首先是越來越多的研究人員正在尋找ICS產品和OT協議中的漏洞。

此外，在IT下集成了OT管理或將云引入OT的組織不僅提高了業(yè)務效率和分析能力，而且還在擴大了威脅攻擊面，并將本不打算連接的設備暴露在互聯網中。

最重要的是，深入研究了補丁和其他補救措施，包括供應商提供的緩解措施。軟件漏洞的修補速度比固件漏洞高得多。在ICS和OT安全圈中，由于打補丁和產品更新需要停機時間，這在許多領域是無法接受的。因此，對于使用者來說，緩解措施具有重大意義。通過衡量供應商和行業(yè)CERT最推薦的緩解措施，發(fā)現網絡分段和安全遠程訪問無疑是2021年上半年最主要的緩解措施。

隨著氣隙式OT網絡成為過去，網絡分段在緩解措施中占據了突出地位。虛擬分區(qū)(專為工程或其他面向流程的功能量身定做的特定于區(qū)域的策略)等技術也將成為不可或缺的緩解手段。

與此同時，安全遠程訪問是僅次于分段的首要緩解步驟。適當的訪問控制和特權管理對于阻止下一個Oldsmar類型的事件有很長的路要走，更重要的是，防止以利潤為導向的參與者通過IT和OT網絡橫向移動，竊取數據，并釋放勒索軟件等惡意軟件。

針對固件修復的很少。幾乎62%的固件漏洞沒有得到修復或建議進行部分修復，而其中大多數漏洞都是部署在普渡模型第一層的產品中。

四、下半年值得關注的趨勢

下半年會有三個重要的趨勢:OT云遷移、針對關鍵基礎設施和OT的勒索軟件攻擊，以及即將出臺的美國網絡立法。

1. OT云遷移

推動企業(yè)將云引入工業(yè)流程的勢頭是不可否認的。當公司開始從云計算管理OT和IT時，這種融合將帶來許多共同的風險。

數據安全曾經是工業(yè)流程的一個風險較低的變量，但現在也將被提升為優(yōu)先事項，特別是在監(jiān)管嚴格的行業(yè)，組織不僅必須評估威脅，還必須評估風險。

例如，加密可能會使一些工具無法獲得對網絡資產的完全可見性。在氣隙環(huán)境中，這可以被認為是可接受的風險，但一旦資產暴露在網上，情況就不同了。最好的做法是在傳輸過程中對數據進行加密，并在數據靜止時進行加密，以確保在發(fā)生事故時能夠充分恢復數據。隨著公司開始將服務和應用放到云端，從第一層設備如PLC接收數據，這一點將尤為明顯。

身份驗證和身份管理也必須是組織的云OT深度防御計劃的一部分。2019年新冠疫情大流行加速了遠程工作，今年2月的Oldsmar事件已經證明了對系統(tǒng)訪問和特權管理控制不力所帶來的風險。

遷移到基于云的基礎設施通常意味著組織基礎設施(IT或OT)的一部分托管在第三方云提供商(如谷歌、Amazon和Microsoft)的遠程服務器上。基礎設施包括一個基于云的管理平臺，以支持組織服務的不同用戶，例如管理員或工程師?；谟脩艉徒巧牟呗员仨毝x用戶可以執(zhí)行哪些功能，以及根據他們的角色擁有哪些特權。

云計算有三種類型：公共云計算、私有云計算和混合云計算。

2. 勒索軟件和勒索攻擊

雖然目前還沒有看到勒索軟件專門影響第一層設備，但攻擊者已經成功地影響了工業(yè)運營。最著名的例子是針對Colonial Pipeline的攻擊，在IT系統(tǒng)被勒索軟件感染后，該公司非常謹慎地關閉了美國東海岸上下的燃料輸送。

攻擊者在使用勒索軟件時變得更加謹慎，他們會搜尋他們認為最有可能支付高額贖金的受害者。雖然市政府、醫(yī)療保健和教育部門一度被認為是勒索軟件攻擊的目標，但大型制造企業(yè)和關鍵基礎設施現在成了眾矢之的。

另一種在以盈利為目的的攻擊團體中流行的策略是高級入侵，即竊取敏感的業(yè)務或客戶數據，以及公開泄露這些信息的威脅，同時可能會使關鍵系統(tǒng)受到勒索軟件的感染。再次，攻擊者把目標對準了可能滿足他們需求的高價值組織。據稱，Colonial Pipeline和JBS Foods都向威脅參與者支付了數百萬美元加密貨幣，以恢復加密系統(tǒng)。

隨著越來越多的公司將ICS設備連接到互聯網并融合OT和IT，對網絡資產的可見性至關重要，關于可能被攻擊者利用的軟件和固件漏洞的信息也是如此。例如，運行在基于Windows的機器上的工程工作站的缺陷，可能會讓攻擊者破壞IT和OT網絡之間的這些交叉點，并修改流程，或者投放勒索軟件，阻礙可能影響公共安全或國家安全的關鍵服務的提供。

除了傳播釣魚攻擊的基于電子郵件的威脅外，防御者還需要關注安全的遠程訪問，以及在虛擬專用網絡和其他基于網絡的攻擊載體中發(fā)現的漏洞集合。Team82數據中超過60%的漏洞可以通過網絡攻擊載體進行遠程攻擊。這強調了保護遠程訪問連接和面向互聯網的ICS設備的重要性，并在攻擊者能夠在網絡和域之間橫向移動以竊取數據和丟棄勒索軟件等惡意軟件之前將其切斷。

3. 懸而未決的美國網絡立法

在2021年上半年，對Oldsmar、Colonial Pipeline和JBS Foods的攻擊表明，關鍵基礎設施和制造業(yè)暴露于互聯網的脆弱性。這些攻擊表明，攻擊者可以找到弱點，改變公共飲用水中的化學物質含量，或者使用大宗商品勒索軟件關閉燃料和食品運輸系統(tǒng)。

這些惡意攻擊活動也引起了美國政府的關注。許多政府支持的網絡相關活動特別指出，工業(yè)網絡安全對于國家安全和美國經濟至關重要。

美國總統(tǒng)拜登在7月簽署了一份關鍵基礎設施國家安全備忘錄，該備忘錄建立了工業(yè)控制系統(tǒng)網絡安全倡議，這是一項針對私營部門所有者和運營商的自愿行動，旨在使其系統(tǒng)與當前威脅保持一致。美國政府將在9月前制定性能目標，這些自愿計劃將不可避免地成為強制性措施，以部署能夠提供OT網絡可視性和威脅檢測的技術。

備忘錄是在5月份簽署的一項行政命令之后簽署的，該命令旨在改善私營和公共部門之間的威脅信息共享、實現聯邦網絡安全標準的現代化，加強供應鏈安全、建立網絡安全審查委員會，制定應對網絡事件的標準手冊，改進聯邦網絡上的事件檢測，以及更好的調查和補救能力。

此前，為改善電網網絡安全進行了為期100天的沖刺，這也強化了公共事業(yè)私營部門所有者和政府之間更好地共享信息的主題。拜登政府還通過TSA對殖民地管道事件做出了強烈反應，并發(fā)布了一項安全指令，要求提高管道網絡的恢復能力，包括在檢測后12小時內強制報告事件、定期進行脆弱性評估，以及防止勒索軟件攻擊。

展望未來，華盛頓的法案草案包括在事件發(fā)生后嚴格的報告要求。必須保持謹慎和耐心，確保這些規(guī)定不會給資源不足的小型公用事業(yè)和關鍵基礎設施運營商，帶來額外風險或不切實際的期望。

政府必須在識別和清除網絡攻擊者的目標與對公司監(jiān)管之間取得平衡，而這些公司將從指導和資金中受益。此外，還必須了解OT漏洞管理的現實情況，以及在高可用性環(huán)境中為工業(yè)設備打補丁，或更新數十年未連接到互聯網或更新的老設備所面臨的挑戰(zhàn)。

這是關鍵基礎設施內的動態(tài)防御者必須面對的問題，以確保在沒有立即修補選項的情況下，或在提供完整的軟件或固件更新之前，能夠為需要緩解措施的防御者提供緩解措施。

五、上半年關鍵事件

以下事件和趨勢可能在一定程度上幫助塑造了2021年上半年的ICS風險和漏洞格局。

1. COLONIAL PIPELINE攻擊事件

美國東海岸最大的汽油、柴油和天然氣分銷商Colonial Pipeline遭到勒索軟件攻擊，影響了石油和天然氣運輸。5月7日的停產對該行業(yè)造成了立竿見影的影響，因為東海岸大約45%的燃料由殖民地供應。停電導致汽油和家庭取暖油價格上漲，許多加油站燃料耗盡。這是殖民地公司57年歷史上的第一次關閉。殖民地于5月13日恢復運營。

據稱，俄羅斯網絡犯罪集團DarkSide對此次攻擊負責，該集團銷售勒索軟件即服務(RaaS)。DarkSide竊取敏感數據并勒索受害者，并威脅稱，如果贖金要求得不到滿足，就會公布這些數據。根據之前的報道，DarkSide似乎只尋找有能力支付高額贖金的受害者，他們聲稱不針對醫(yī)療機構、教育機構或政府機構。Colonial為此支付了440萬美元的比特幣贖金，但其中230萬美元被美國政府追回，但據報道，攻擊發(fā)生后不久，DarkSide就放棄了運營。

2. Oldsmar水利攻擊事件

2月5日，佛羅里達州奧爾茲馬爾的一個水處理設施遭到襲擊。Oldsmar設施內的操作員檢測到來自工廠外的兩次入侵，第二次入侵涉及一名遠程攻擊者，該攻擊者通過TeamViewer桌面共享軟件連接，TeamViewer桌面共享軟件是用于技術支持的合法遠程訪問解決方案。

遠程攻擊者將住宅和商業(yè)飲用水中的氫氧化鈉含量，從百萬分之100改變?yōu)榘偃f分之1100。氫氧化鈉(又名堿液)被添加到水中以控制酸度和去除某些金屬。堿液也是下水道清潔劑中的主要試劑，是一種腐蝕性物質，如果食用就會有危險。

運營商切斷了攻擊者的連接，并在水處理系統(tǒng)固有安全措施的支持下，防止污染水進入公眾。

3. JBS FOODS攻擊事件

5月30日，全球最大的肉類供應商JBS遭到勒索軟件攻擊，導致澳大利亞、加拿大和美國的工廠關閉。美國的工廠關閉也導致近五分之一的肉類加工能力喪失。聯邦調查局將這次攻擊歸咎于REvil，也被稱為Sodinokibi。

Revil是一個提供RAAS的黑客組織。他們以敲詐巨額贖金、針對大公司、在加密之前竊取數據進行雙重勒索而聞名，并將這些數據發(fā)布在一個名為Happy Blog的暗站上。

JBS維護一個備份系統(tǒng)，并能夠使用它恢復操作以恢復數據。盡管如此，該公司為挽回損失，還是向攻擊者支付了1100萬美元的贖金。